CRITICAL✓ PATCH🇬🇧 English

CVE-2025-67084

RCE przez nieautoryzowany upload plików PHP w InvoicePlane

CVSS 9.9v3.1pub. 2026-01-15upd. 2026-01-22

Podatność w mechanizmie przesyłania plików w InvoicePlane (do wersji 1.6.3 włącznie) umożliwia uwierzytelnionemu atakującemu wgranie dowolnych plików PHP jako załączniki. Może to prowadzić do zdalnego wykonania kodu (RCE) na serwerze, co stanowi krytyczne zagrożenie dla bezpieczeństwa systemu.

Pokaż oryginał (EN)

File upload vulnerability in InvoicePlane through 1.6.3 allows authenticated attackers to upload arbitrary PHP files into attachments, which can later be executed remotely, leading to Remote Code Execution (RCE).

🤖 Analiza AI
Jak działa

Aplikacja InvoicePlane nie weryfikuje właściwie typu ani zawartości przesyłanych plików w module załączników. Uwierzytelniony użytkownik może przesłać plik PHP zamiast dozwolonego załącznika. Po wgraniu pliku na serwer atakujący może wywołać go przez przeglądarkę lub bezpośrednie żądanie HTTP, co skutkuje wykonaniem kodu PHP w kontekście serwera webowego. W ten sposób możliwe jest uzyskanie pełnej kontroli nad środowiskiem serwerowym.

Skutki

Atakujący z dostępem do konta w aplikacji może wykonać dowolny kod na serwerze (RCE), co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych, instalacji backdoor lub dalszego lateral movement w sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych użytkowników oraz skonfigurowanie serwera webowego tak, aby pliki w katalogach załączników nie były wykonywalne (np. blokada wykonania PHP w katalogu uploads).

Kogo dotyczy

InvoicePlane w wersji do 1.6.3 włącznie

Uwagi

Podatność wymaga uwierzytelnienia (PR:L), jednak ze względu na zakres wpływu (S:C, C:H, I:H, A:H) ryzyko jest krytyczne w środowiskach, gdzie dostęp do aplikacji mają niezaufane osoby lub gdzie konta użytkowników mogą być skompromitowane. Szczegóły techniczne dostępne w advisory opublikowanym przez helx.io.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Invoiceplane

    APP
    Invoiceplane
    < 1.6.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-23491CRITICAL9.3PL ✓ten sam produkt

Path traversal w InvoicePlane umożliwia odczyt dowolnych plików bez uwierzytelnienia

CVE-2026-25548CRITICAL9.1PL ✓ten sam produkt

RCE w InvoicePlane 1.7.0 via LFI i Log Poisoning

CVE-2024-56975CRITICAL9.8PL ✓ten sam produkt

RCE w InvoicePlane — niebezpieczne przesyłanie plików (upload_file)

CVE-2021-29024HIGH7.5ten sam produkt

In InvoicePlane 1.5.11 a misconfigured web server allows unauthenticated directory listing and file download. ...

CVE-2017-1000238HIGH8.8ten sam produkt

InvoicePlane version 1.4.10 is vulnerable to a Arbitrary File Upload resulting in an authenticated user can up...

CVE-2025-67084 — RCE przez nieautoryzowany upload plików PHP w InvoicePlane — CRITICAL 9.9 | CVEbaza.pl